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PROCEDE ET CIRCUIT ANTI-FRAUDE POUR REGIS TRE DE CIRCUIT INTEGRE 
CONTENANT DES DONNE ES OBTENUES A PARTIR DE QUANTITES SECRETES 

La presente invention concerne le domaine des circuits 
integres et plus particulierement la protection de donnees ou 
quantites secretes manipulees par des circuits integres contre 
des tentatives de firaude visant a pi rater ces donnees. 
5 Un exemple d T application de la presente invention 

concerne le domaine des cartes a puces dans lesquelles des quan- 
tites secretes servant a chiffrer ou crypter des donnees venant 
de 1 1 exterieur sont contenues dans la puce de circuit integre . 

Parmi les fraudes possibles, l 1 invent ion se preoccupe 

10 plus particulierement des tentatives de fraudes basees sur un 
examen de la signature d'un parametre physique du circuit 
integre executant la fonction de chiffrement ou plus 
generalement d'une operation met t ant en oeuvre une quant ite 
secrete. Cette signature physique sur le circuit integre peut 

15 correspondre, par exemple, a 1' evolution de sa temperature, de 
sa consommation en courant ou de son rayonnement electro- 
magnetique. Les attaques par analyse statistique de consommation 
en courant d'un circuit integre sont connues sous la denomi- 
nation DPA (Differential Power Analysis) . Ces attaques consis- 

2 0 tent a emettre des hypotheses sur la ou les cles secretes mani- 
pulees alors que l l on connaxt les donnees d 1 entree dans 1.' algo- 
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rithme (provenant de l'exterieur) ainsi que l'algorithme lui- 
meme. Dans la mesure ou 1 1 algorithme est connu, on salt comment 
la quantite secrete est melangee a la donnee d 1 entree par cet 
algorithme. En faisant varier les donnees d 1 entree sur la base 
d ? une meme hypothese de cle, on peut analyser la source de fuite 
(par exemple, la consommation en courant) du circuit integre et 
obtenir une signature (trace) moyenne qui peut conduire a la 
decouverte de la quantite secrete en tombant sur la bonne 
hypothese . 

Les attaques par analyse de la consommation de type 
DPA sont decrites, par exemple, dans l f article "Differential 
Power Analysis", de Kocher, Jaffe et Jun publie par Springer 
Verlag LNCS 1666, en 1999 dans le cadre de la conference CRYPTO 
99 (pages 388-397) . 

Plus generalement, 1" article "Side Channel Cryptoanalysis 
of Product Ciphers" de J. Kelsey, P. Schneier, D. Wagner et C. 
Hall paru dans Journal of Computer Security Vol 8, N. 2-3, 2000, 
p. 141-158, decrit le principe d f attaques auxquelles s 'applique 
la presente invention. 

En pratique, les informations sensibles aux attaques 
par analyse de signature physique sont presentes au niveau des 
registres de stockage temporaire des donnees et des cles sous la 
forme de fronts de commutation montants ou descendants (0 vers 
1, ou 1 vers 0) , c ! est-a-dire lors des introductions des donnees 
dans les registres. 

La figure 1 illustre un exemple classique de fonction 
algorithmique du type a laquelle s 1 applique la presente inven- 
tion. 

Une donnee d' entree X est combinee par une fonction f 
(bloc 1, f(X, K) ) , avec une quantite secrete K contenue dans le 
circuit integre executant la fonction f. Le resultat fourni est 
une donnee Y correspondant, dans cet exemple, a la donnee X 
chiffree par la cle K. 

La figure 2 illustre, de fagon arbitraire et a titre 
d' exemple deux etapes successives d 1 execution d r une fonction de 
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chif frement (par exemple, la fonction f de la figure 1) . Une 
telle execution fait appel a des registres de stockage des 
donnees numeriques. Ces registres ont ete symbolises en figure 2 
sous la forme de deux registres d' entree 2 (Rsl) et 3 (Rs2) 
5 constituant des registres sources pour un operateur 4 (OP) 
executant une fonction logique ou arithmetique sur les contenus 
des registres 2 et 3 . Le resultat de 1' operation 4 (OP) est 
stocke dans un registre de destination 2' (Rdl) et, si 1' ope- 
ration OP fournit deux mots resultats, dans un deuxieme registre 

10 destination 3 f (Rd2) represents en point illes en figure 2. 

Si la fonction f a executer comprend plusieurs opera- 
tions successives, les registres de destination 2 1 et 3 ' de la 
premiere etape ou operation 4 deviennent general ement les registres 
sources 2 et 3 d'une deuxieme etape ou operation 4 1 (operateur 

15 OP 1 ). En figure 2, les deux operations successives ont ete 
separees par un point i lie 5. De fagon similaire a la premiere 
etape, l 1 operation 4' fournit son resultat dans un ou plusieurs 
registres de destination references 2 1 et 3 1 . 

Classiquement, a chaque nouvelle execution d'un algo- 

2 0 rithme, les registres sources et de destination qu'ils soient 

communs ou distincts selon les applications, sont reinitialises 
a une valeur predeterminee (par exemple, zero) . Par la suite, 
les etats qu'ils contiennent dependent des introductions des 
differentes donnees et notamment de la quant ite secrete qui est 
25 susceptible d'etre piratee. Le registre le plus sensible est le 
registre de destination dans la mesure ou le registre source, 
s'il n ! a pas ete reinitialise, correspond a un registre de 
destination transforme par une operation precedente. 

La presente invention vise a ameliorer la securite des 

3 0 circuits integres manipulant des donnees secretes contre des 

attaques par analyse de signature physique. Plus particulie- 
rement, 1' invention vise a ameliorer la protection des contenus 
des registres et notamment des registres de destination des 
operations executees au sein du circuit integre et mettant en 
3 5 oeuvre des quantites secretes. 
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L 1 invention vise egalement a proposer une solution qui 
soit compatible avec les algorithmes de chif f rement et plus 
general ement avec les algorithmes de manipulation de donnees secretes 
classiques. En particulier, 1' invention vise a ne necessiter aucune 
modification de 1 1 algorithme pour la mise en oeuvre de la 
protection prevue, et a rester totalement transparente pour l'utili- 
sateur du circuit . 

L 1 invention vise en outre a proposer une solution qui 
convienne pour proteger indif f eremment le contenu de registre(s) 
de destination de resultat (s) d 1 operation (s) servant de registre(s) 
source (s) a une operation suivante, ou le contenu de regis tre(s) 
contenant le resultat final. 

Pour atteindre ces objets et d'autres, la present e 
invention prevoit un circuit integre mettant en oeuvre au moins 
une operation faisant intervenir au moins une quantite secrete, 
et comprenant f onctionnellement en amont et en aval de 1 'opera - 
teur, au moins un registre source et au moins un registre de 
destination, le circuit comportant des moyens pour charger ion 
nombre aleatoire ou pseudo-aleatoire au moins dans le registre 
de destination. 

Selon un mode de realisation de la presente invention, 
ledit nombre aleatoire est charge dans le registre de desti- 
nation avant transfert du resultat de 1' operation vers ce 
registre . 

Selon un mode de realisation de la presente invention, 
au moins un registre temporaire est prevu pour stocker le 
contenu du registre source ou du resultat de 1' operation avant 
transfert vers le registre de destination. 

Selon un mode de realisation de la presente invention, 
des moyens pour charger le registre temporaire avec une quantite 
aleatoire sont prevus. 

L* invention prevoit egalement un procede anti-fraude 
consistant a rendre aleatoire le contenu d ! un registre de desti- 
nation du resultat d'un operateur mettant en oeuvre au moins une 
quantite secrete, consistant a introduire une quantite aleatoire 
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dans le registre de destination avant chaque chargement d'un 
resultat dans ce dernier . 

Selon un mode de mise en oeuvre de la presente inven- 
tion, le resultat de I'operateur est transfere vers un registre 
5 temporaire avant chargement dans le registre de destination. 

Ces objets, caracteristiques et avantages, ainsi que 
d'autres de la presente invention seront exposes en detail dans 
la description suivante de modes de mise en oeuvre et de 
realisation particuliers faite a titre non-limitatif en relation 
10 avec les figures jointes parmi lesquelles : 

les figures 1 et 2 decrites precedemment sont destinees 
a exposer 1 ' etat de la technique et le probleme pose ; 

la figure 3 represente un mode de realisation d'un 
circuit integre executant un algorithme a manipulation de 
15 quantite secrete selon la presente invention ; et 

les figures 4A, 4B et 4C illustrent, sous forme d'organi- 
grammes, trois exemples de mise en oeuvre du circuit de la 
figure 3. 

Les memes elements ont ete designes par les memes 
2 0 references aux differentes figures. Pour des raisons de clarte, 
seuls les elements et etapes de procede qui sont necessaires a 
la comprehension de 1 1 invention ont ete representes aux-f igures 
et seront decrits par la suite. En particulier, les fonctions 
algorithmiques proprement dites et notamment les operations de 

2 5 manipulation des donnees contenues dans les registres n'ont pas 

ete detaillees, l 1 invention s'appliquant quelle que soit 1" ope- 
ration mise en oeuvre, qu ! il s f agisse d'une operation arithme- 
tique ou logique, d'lone operation de copie ou de transfert etc., 
et quelles que soient les donnees manipulees. 

3 0 Une caracteristique de la presente invention est de 

masquer 1 ! introduction d ! au moins un resultat fourni par au 
moins un operateur dans au moins un registre de destination, par 
1 1 introduction prealable d'une donnee aleatoire dans ce 
registre . 
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Une caracteristique d'un mode de realisation prefere 
de la presente invention est de prevoir au moins un registre 
intermediaire entre le ou les operateurs et le ou les registres 
de destination, afin de peinnettre 1 1 introduction d'au moins une 
donnee aleatoire dans le ou les registres de destination. Selon 
ce mode de realisation, des donnees aleatoires sont egalement 
introduites dans le ou les registres intermediaires avant tout 
transfert depuis un operateur. 

La figure 3 represente, de fagon tres schematique et 
sous forme de blocs, un mode de realisation d'une cellule 1 de 
calcul selon la presente invention, 

Comme precedemment, un ou plusieurs (ici, deux) registres 
2 (Rsl) et 3 (Rs2) contiennent des donnees a soumettre a une 
operation. Les contenus de ces registres sont transferes vers un 
circuit 4 executant une operation OP de l ! algorithme concerne. 
Un ou plusieurs (ici, deux) registres 2 1 (Rdl) et 3' (Rd2) sont 
destines a contenir le ou les resultats fournis par 1* operateur 
4 . Les registres de destinations 2 1 et 3 1 peuvent constituer ou 
non des registres sources d'une operation ulterieure. 

Selon le mode de realisation represents, l f operateur 4 
est connecte en entree d'un ou plusieurs {ici, deux) registres 
temporaires 6 (Rtl) et 7 (Rt2) , de preference en meme nombre que 
les registres de destination. Ces registres temporaires sont 
destines a recevoir les resultats fournis par 1« operateur 4 
avant leur transfert dans les registres de destination 2' et~3 f , 
re spe c t ivement . 

Les registres de destination 2 1 et 3 1 ainsi que les 
registres temporaires 6 et 7 eventuels sont susceptibles d'etre 
precharges par des donnees aleatoires. Cette fonction est 
illustree en figure 3 par des bornes d 1 entree supplementaires 
des registres 2 1 , 3 1 , 6 et 7 recevant des mots de donnees 
aleatoires Al pour les registres 2 ■ et 6 ou A2 pour les 
registres 3' et 7. 

En figure 3, les liaisons de 1' operateur 4 aux 
registres 2 1 et 3 1 ont ete illustrees en pointilles afin de 
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faire ressortir leur caractere optionnel comme on le verra par 
la suite en relation avec les descriptions d'exemple de figures 
4A a 4C. 

Selon l 1 invention, avant chaque chargement d'un resul- 
tat operatoire dans un registre de destination, celui-ci est 
renpli par un nombre aleatoire. Cette introduction d'alea s'effectue 
au moyen d f au moins un generateur de nombres aleatoires ou 
pseudo-aleatoire classique qui n f a pas besoin d'etre detaille. 

Ensuite, selon le type d 1 operation et d 1 algorithme , le 
ou les resultats de l'operateur 4 sont, soit stockes dans le ou 
les registres de destination 2 1 et 3', a la place des nombres 
aleatoires Al et A2, soit stockes dans le ou les registres 
temporaires 6 ou 7 comme cela va etre mieux compris par la suite 
en relation avec la description des figures 4A a 4C. Bien 
entendu, la taille des nombres aleatoires generes est adaptee a 
la taille des nombres resultats issus de l'operateur 4, 

Bien que cela soit preferable, on notera qu'il n'est 
pas indispensable que les nombres aleatoires charges dans les 
differents registres soient differents les uns des autres, 
pourvu que ces nombres changent regulierement , de preference a 
chaque nouvelle operation. Ainsi, un pirate eventuel n'est pas 
capable d 1 exploiter les signatures physiques issues des^change- 
ments d'etats des registres de destination dans la mesure ou ces 
changements partent, de preference a chaque fois, d'un etat 
different . 

Aux figures 4A a 4C, on se refere a des exemples 
n'utilisant qu'un seul registre de destination. On notera 
toutefois que tout ce qui va etre expose en relation avec ces 
exemples s 1 applique bien entendu au cas ou plusieurs registres 
de destination sont utilises ainsi qu'au cas ou un ou plusieurs 
registres de destination deviennent les registres sources de 
1 ! operation suivante. 

La figure 4A represente un premier exemple selon 
lequel le resultat de 1 ' operation 4 combinant les donnees des 
registres 2 et 3 doit etre stocke dans un registre de desti- 
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nation unique. Dans ce cas, on commence selon 1' invention par 
stocker (bloc 21) un nombre aleatoire A dans ion registre de 
destination Rd. Puis, une fois 1' operation executee, le resultat 
OP (Rsl , Rs2 ) representant 1 1 application de 1 1 operateur 4 aux 
5 contenus des registres Rsl et Rs2 est stocke (bloc 22) dans le 
registre Rd. 

Un avantage est alors que le changement d'etat du 
registre Rd depuis la donnee aleatoire A vers le resultat de 
l 1 operation ne peut pas etre utilise par un pirate exploitant 

10 une analyse statistique de consommation ou de signature physique. 
En effet, l'alea A changeant a chaque execution de 1' operation, 
il changera a chaque variation de la donnee d* entree sur la base 
d'une meme hypothese de cle, et ne fournira done pas de resultat 
exploitable pour le pirate. 

15 La figure 4B illustre un deuxieme exemple selon lequel 

on utilise un registre temporaire. Selon cet exemple, a chaque 
execution de 1' operation, on commence par introduire (bloc 23) 
un premier alea A dans un registre temporaire Rt. Dans une 
deuxieme etape, le resultat OP (Rsl, Rs2) de 1" operateur 4 est 

2 0 stocke (bloc 24) dans le registre temporaire Rt . Puis, on intro- 
duit (bloc 21) un deuxieme nombre aleatoire A 1 dans le registre 
de destination Rd. Enfin, le contenu du registre temporaire Rt 
est transfere (bloc 26) au registre de destination Rd. 

Selon un premier exemple ou le registre de destination 

2 5 Rd est confondu au registre source (registre reboucle sur le 

meme operateur), on veillera a maintenir 1 1 introduction de 
l'alea dans le registre de destination' tone fois que le registre 
a ete decharge de sa donnee d' entree, e'est-a-dire apres 1' etape 
24 . 

3 0 Selon un autre exemple, on pourra inverser les etapes 

24 et 25 et introduire l'alea A* dans 1' execution de la 
sequence. La seule contrainte est que l f etape 23 precede 1' etape 
24 et que 1' etape 25 precede l 1 etape 26. 

La figure 4C illustre un troisieme exemple d'applica- 
3 5 tion du circuit de I 1 invention. Selon cet exemple, on commence 



1er depot 

m 

9 

par introduire (bloc 23) un alea A dans un registre temporaire 
Rt. Puis, le contenu du registre source Rsl est transfere (bloc 
27) vers le registre temporaire Rt. Un deuxieme alea A 1 est 
stocke (bloc 21) dans le registre de destination. Enfin, on 
5 execute l 1 operation de combinaison du contenu du registre Rs2 et 
du registre temporaire Rt, et on stocke (bloc 28) le resultat 
OP(Rs2, Rt) dans le registre Rd. La encore, l'ordre des etapes 
n f est qu'un exemple pourvu que l'etape 21 soit avant l'etape 28 
et que l'etape 23 soit avant I'etape 27. 

10 L 1 exemple de la figure 4C concerne plus particulie- 

rement le cas ou le registre de destination Rdl correspond au 
registre source Rsl, ce qui impose de decharger son contenu dans 
le registre temporaire avant d 1 introduire un alea dans le 
registre de destination. 

15 On notera que le ou les transferts du ou des registres 

sources vers le ou les registres temporaires (figure 4C) n'ont 
pas ete illustres par des liaisons f onctionnelles en figure 3 . 
Cette variante est neanmoins possible. 

Un avantage de 1 1 invention est que sa mise en oeuvre 

2 0 ne necessite aucune modification de l'algorithme protege. Seuls 

1 ' organisation des transferts de donnees est modifiee. 

Bien entendu, la presente invention est susceptible de 
diverses variantes et modifications qui apparaitront a l'homme 
de 1 1 art . En particulier, sa realisation pratique est a la 
25 portee de l'homme du metier a partir des indications f onction- 
nelles donnees ci-dessus. De plus, a partir du moment ou le 
circuit integre est adapte pour pouvoir introduire un ou plu- 
sieurs aleas dans les registres de travail associes aux 
operateurs d 1 execution des algorithmes, plusieurs cas de figures 

3 0 peuvent etre envisages dont seulement certains exemples ont ete 

decrits ci-dessus. En particulier, le recours a des registres 
temporaires n'est pas indispensable. De plus, les eventuels 
transferts vers des registres teniporaires peuvent etre effectues 
soit pour les donnees sources soit pour les donnees de 
3 5 destinations, pourvu que le registre de destination puisse etre 
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rempli avec un alea avant qu'on y introduise le resultat de 
l 1 operation. En outre, 1 'operation entre les registres source et 
de destination peut etre n'importe quelle operation mise en 
oeuvre par un processeur et modifiant un registre (par exemple, 
1' operation de copie d'un registre dans un autre. Enfin, le 
registre de destination pourra consister en une registre de 
drapeau (flag) ne contenant qu'un bit, pre-positionne selon 
1 1 invention de f agon aleatoire . 
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REVENDICATIONS 

1. Circuit integre mettant en oeuvre au moins une 
operation (4) faisant intervenir au moins une quantite secrete 
(K) , et coraprenant f onctionnellement en antiont et en aval de 
l 1 operateur, au moins un registre source (Rs) et au moins un 

5 registre de destination (Rd) , caracterise en ce qu ' il comporte 
des moyens pour charger un nombre aleatoire (A) ou pseudo- 
aleatoire au moins dans le registre de destination. 

2. Circuit selon la revendication 1, dans lequel ledit 
nombre aleatoire (A) est charge dans le registre de destination 

10 (Rd) avant transfert du resultat de I 1 operation vers ce 
registre . 

3 . Circuit selon la revendication 1 ou 2 , dans lequel 
est prevu au moins un registre temporaire <Rt) de stockage du 
contenu du registre source (Rs) ou du resultat de 1* operation 

15 avant transfert vers le registre de destination (Rd) . 

4. Circuit selon la revendication 3, dans lequel sont 
prevus des moyens pour charger le registre temporaire avec une 
quantite aleatoire (A) . 

5. Procede anti-fraude consistant a rendre aleatoire 
2 0 le contenu d'un registre de destination (Rd) du resultat d'un 

operateur (4) mettant en oeuvre au moins une quantite secrete 
(K) , caracterise en ce qu'il consiste a introduire une quantite 
aleatoire (A) dans le registre de destination (Rd) avant chaque 
chargement d'un resultat dans ce dernier. 

2 5 6. Procede selon la revendication 5, dans lequel le 

resultat de 1' operateur (4) est transfere vers un registre 
temporaire (Rt) avant chargement dans le registre de destination 
(Rd) . 

7. Procede selon la revendication 5 ou 6, dans lequel 

3 0 le circuit integre est conforme a I 1 une quelconque " des 

revendications 1 a 4 . 
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Fig 4B 
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Fig 4C 
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